Windows与网络基础-15-本地安全策略

目录

一、本地安全策略

1.1 概念介绍

1.2 打开方式

二、账户策略

2.1 密码策略

2.1.1 密码必须符合复杂性要求

2.1.2 最小密码长度

2.1.3 密码最短使用期限

2.1.4 密码最长使用期限

2.1.5 强制密码历史

2.1.6 放宽最小密码长度的原有限制

2.2 帐户锁定策略

2.2.1 帐户锁定时间

2.2.2 帐户锁定阈值

2.2.3 重置账户锁定计数器

三、本地策略

3.1 审核策略

3.1.1 审核策略更改

3.1.2 审核登录事件

3.1.3 审核对象访问

3.1.4 审核进程跟踪

3.1.5 审核目录服务访问

3.1.6审核特权使用

3.1.7 审核系统事件

3.1.8 审核帐户登录事件

3.1.9 审核帐户管理

3.2 用户权限分配

3.2.1 从网络访问此计算机

3.2.2 更改时区

3.2.3 关闭系统

3.2.4 拒绝本地登录

3.2.5 拒绝通过远程桌面服务登录

3.3 安全选项

3.3.1 交互式登录: 无需按 CTRL+ALT+DEL

3.3.2 关机: 允许系统在未登录的情况下关闭

3.3.3 帐户: 来宾帐户状态

3.3.4 网络访问: 本地帐户的共享和安全模型

---

一、本地安全策略

1.1 概念介绍

主要是对登陆到计算机上的账号定义一些安全设置，本地管理员为计算机进行设置以确保其安全。例如，限制用户如何设置密码、通过账户策略设置账户安全性、通过锁定账户策略避免他人登陆计算机、指派用户权限等。这些安全设置分组管理，就组成了的本地安全策略！

主要影响的是本地计算机的安全设置

1.2 打开方式

1. Win +R 运行 secpol.msc
2. 开始菜单—>windows管理工具—>本地安全策略

   3. 从本地组策略进去

  Win + R 运行：gpedit.msc

本地组策略包含本地安全策略：Windows设置—>安全设置

二、账户策略

2.1 密码策略

2.1.1 密码必须符合复杂性要求

 默认情况下window server自动开启

此安全设置确定密码是否必须符合复杂性要求。

如果启用此策略，密码必须符合下列最低要求:

不能包含用户的帐户名，不能包含用户姓名中超过两个连续字符的部分

至少有六个字符长

包含以下四类字符中的三类字符:

英文大写字母(A 到 Z)

英文小写字母(a 到 z)

10 个基本数字(0 到 9)

非字母字符(例如 !、$、#、%)

在更改或创建密码时执行复杂性要求。

2.1.2 最小密码长度

该安全设置确定了用户帐户密码可以包含的最少字符数。

此设置的最大值与放宽最小密码长度限制设置的值相关。

如果未定义放宽最小密码长度限制设置，则可将此设置配置为 0 到 14。

如果已定义并禁用放宽最小密码长度限制设置，则可将此设置配置为 0 到 14。

如果已定义并启用放宽最小密码长度限制设置，则可将此设置配置为 0 到 128。

将所需的字符数设置为 0 表示无需密码。

注意: 默认情况下，成员计算机沿用各自域控制器的配置。

默认:

在域控制器上为 7。

在独立服务器上为 0。如果开启了密码复杂性要求，那么至少是6位

2.1.3 密码最短使用期限

此安全设置确定在用户更改某个密码之前必须使用该密码一段时间(以天为单位)。可以 设置一个介于 1 和 998 天之间的值，或者将天数设置为 0，允许立即更改密码。

密码最短使用期限必须小于密码最长使用期限，除非将密码最长使用期限设置为 0，指明密码永不过期。如果将密码最长使用期限设置为 0，则可以将密码最短使用期限设置为介于 0 和 998 之间的任何值。

如果希望“强制密码历史”有效，则需要将密码最短使用期限设置为大于 0 的值。如果没有设置密码最短使用期限，用户则可以循环选择密码，直到获得期望的旧密码。默认设置没有遵从此建议，以便管理员能够为用户指定密码，然后要求用户在登录时更改管理员定义的密码。如果将密码历史设置为 0，用户将不必选择新密码。因此，默认情况下将“强制密码历史”设置为 1。

默认值:

在域控制器上为 1。

在独立服务器上设置为 0。标识允许立即更改密码。

注意: 在默认情况下，成员计算机沿用各自域控制器的配置。

2.1.4 密码最长使用期限

此安全设置确定在系统要求用户更改某个密码之前可以使用该密码的期间(以天为单位)。可以将密码设置为在某些天数(介于 1 到 999 之间)后到期，或者将天数设置为 0，指定密码永不过期。如果密码最长使用期限介于 1 和 999 天之间，密码最短使用期限必须小于密码最长使用期限。如果将密码最长使用期限设置为 0，则可以将密码最短使用期限设置为介于 0 和 998 天之间的任何值。

注意: 安全最佳操作是将密码设置为 30 到 90 天后过期，具体取决于你的环境。这样，攻击者用来破解用户密码以及访问网络资源的时间将受到限制。

默认值: 42。

2.1.5 强制密码历史

此安全设置是用户不能使用旧密码，会记录旧密码个数。该值必须介于 0 个和 24 个密码之间。比如设置为3表示最近的三个历史上用过的旧密码不可作为新密码

此策略使管理员能够通过确保旧密码不被连续重新使用来增强安全性。

2.1.6 放宽最小密码长度的原有限制

此设置控制最小密码长度设置是否可以超出原有的限制 14。

如果未定义此设置，则可将最小密码长度配置为不超过 14。

2.2 帐户锁定策略

（对管理员无效，而且管理员可以手动解锁普通用户）

2.2.1 帐户锁定时间

此安全设置确定锁定帐户在自动解锁之前保持锁定的分钟数。可用范围从 0 到 99,999 分钟。如果将帐户锁定时间设置为 0，帐户将一直被锁定直到管理员明确解除对它的锁定。

如果定义了帐户锁定阈值，则帐户锁定时间必须大于或等于重置时间。

默认值: 无，因为只有在指定了帐户锁定阈值时，此策略设置才有意义。

2.2.2 帐户锁定阈值

（触发后才能设置锁定时间和重置账户锁定计数器）

此安全设置确定导致用户帐户被锁定的登录尝试失败的次数。在管理员重置锁定帐户或帐户锁定时间期满之前，无法使用该锁定帐户。可以将登录尝试失败次数设置为介于 0 和 999 之间的值。如果将值设置为 0，则永远不会锁定帐户。

2.2.3 重置账户锁定计数器

此安全设置确定在某次登录尝试失败之后将登录尝试失败计数器重置为 0 次错误登录尝试之前需要的时间。可用范围是 1 到 99,999 分钟。

如果定义了帐户锁定阈值，此重置时间必须小于或等于帐户锁定时间。

默认值: 无，因为只有在指定了帐户锁定阈值时，此策略设置才有意义。

为什么重置账户锁定计数器一定要小于等于账户锁定时间？

举例：银行取钱，连续三次输入错误会永久锁卡，需要人工解除，但是输错2次还有1次机会时，过24小时又会重置账户输入密码的机会，又会有3次机会。

假设：

      账户锁定时间为30分钟

      账户锁定阈值为3次

      重置账户锁定计数器为60分钟

那么我输错3次等30分钟自动解锁又有3次机会，而等重置账户锁定计数器要60分钟，才有三次机会，那么干脆直接输错3次等30分钟自动解锁，这里设置了重置账户锁定计数器就没有了意义，因此重置账户锁定计数器一定要小于等于账户锁定时间才有意义。

思考：管理员不受账户锁定策略限制，管理员用户名又是固定的，很容易遭受黑客的爆破攻击，从而使服务器沦陷，用什么办法使管理员藏起来，使黑客无法找到管理员用户。（Windows操作系统加固）

三、本地策略

3.1 审核策略

审核策略是Windows 2000及以后版本组策略中引入的一个安全机制。它可以用日志形式记录系统中已经被审核的事件，而系统管理员通过生成的日志文件，能轻易发现和跟踪发生在所管理区域内的可疑事件。比如:谁曾经访问过哪个文件、哪些非法程序入侵了你的电脑等。追踪和溯源

官方介绍基本安全审核策略 (Windows 10) - Windows security | Microsoft Docs

3.1.1 审核策略更改

审核审核策略更改确定当对审核策略进行更改时，操作系统是否生成审核事件

3.1.2 审核登录事件

确定是审核用户登录到设备还是从设备注销的每个实例。

3.1.3 审核对象访问

确定是否审核用户访问对象（例如文件、文件夹、注册表项、打印机等）的事件，该对象具有指定的 SACL (列表) 列表。

3.1.4 审核进程跟踪

确定是否审核程序激活、进程退出、处理重复和间接对象访问等事件的详细跟踪信息。

3.1.5 审核目录服务访问

审核目录服务访问确定当访问 Active Directory 域服务或 AD DS (时，操作系统) 审核事件。

3.1.6审核特权使用

确定是否审核用户行使用户权限的每个实例。

3.1.7 审核系统事件

确定是否在用户重新启动或关闭计算机时或发生影响系统安全或安全日志的事件时进行审核。

3.1.8 审核帐户登录事件

确定是审核登录到此设备的用户的每个实例，还是从用于验证帐户的另一台设备注销。

3.1.9 审核帐户管理

确定是否审核设备上每个帐户管理事件。

帐户管理事件的示例包括：

创建、更改或删除用户帐户或组。

重命名、禁用或启用用户帐户。

设置或更改密码。

确定是否审核设备上每个帐户管理事件

事件查看器

Windows管理工具—>事件查看器

3.2 用户权限分配

3.2.1 从网络访问此计算机

      此用户权限确定允许哪些用户和组通过网络连接到计算机。此用户权限不影响远程 桌面服务。

3.2.2 更改时区

该用户权限确定哪些用户和组可以更改计算机用于显示本地时间(计算机的系统时间加上时区偏移)的时区。系统时间本身是绝对的，因此不受时区变化的影响。

3.2.3 关闭系统

      此安全设置确定哪些在本地登录到计算机的用户可以使用关机命令关闭操作系统。 误用此用户权限会导致拒绝服务。

3.2.4 拒绝本地登录

      此安全设置确定要防止哪些用户在该计算机上登录。如果帐户受制于此策略设置和“允许本地登录”策略设置，则拒绝权限优先级高允许

3.2.5 拒绝通过远程桌面服务登录

Win + R 运行：mstsc

此安全设置确定禁止哪些用户和组作为远程桌面服务客户端登录。

3.3 安全选项

3.3.1 交互式登录: 无需按 CTRL+ALT+DEL

此安全设置确定在用户登录之前是否需要按 CTRL+ALT+DEL。

        不必按 CTRL+ALT+DEL，用户就容易受到试图拦截用户密码的攻击。如果用户在登录前需要按 CTRL+ALT+DEL 则可确保用户在输入其密码时通过可信路径进行通信。

3.3.2 关机: 允许系统在未登录的情况下关闭

此安全设置确定是否可以在无需登录 Windows 的情况下关闭计算机。

如果启用了此策略，Windows 登录屏幕上的“关机”命令可用。

3.3.3 帐户: 来宾帐户状态

此安全设置确定是启用还是禁用来宾帐户。

3.3.4 网络访问: 本地帐户的共享和安全模型

经典：本地用户进行身份验证，不改变其本来身份

仅来宾：对本地用户进行身份验证，其身份为来宾

策略更新：gpupdate /force